Fabricantes fidedignos para ficheiros do Office

  • Artigo

Aplica-se a:Microsoft 365 Apps, Office LTSC 2021, Office 2019 e Office 2016

Um publicador é uma pessoa ou uma empresa que publicou software, como uma macro, um controlo ActiveX ou um suplemento. Antes de decidir que um fabricante é fiável e pode ser considerado fidedigno, deve saber a identidade do publicador e se as credenciais do publicador são válidas.

Se o Office o avisar sobre código potencialmente inseguro num ficheiro, pode ver mais informações sobre o código e o publicador antes de decidir se confia no código ou no publicador. Se receber um aviso a indicar que não existe nenhuma assinatura ou que a assinatura é inválida, não deve ativar o conteúdo ou confiar no publicador, a menos que tenha a certeza de que o código provém de uma origem fiável. Normalmente, uma mensagem a indicar que a assinatura é inválida significa que o código foi adulterado depois de o autor a ter assinado.

Se uma macro utilizada num ficheiro do Office estiver assinada e tiver validado o certificado e confiar na origem, pode tornar essa origem num fabricante fidedigno. Recomendamos, se possível, que você gerencie editores confiáveis ​​para seus usuários.

Observação

Se a sua organização desenvolver e distribuir macros em ficheiros do Office, seja para utilizadores internos ou clientes externos, os programadores de macros devem, como melhor prática, assinar o respetivo código VBA. Normalmente, o código é assinado com um certificado digital de uma autoridade de certificação comercial (AC) antes de as macros serem distribuídas.

Para ser um fabricante fidedigno, o certificado de assinatura de código público utilizado para assinar a macro tem de ser adicionado ao arquivo de certificados Fabricantes Fidedignos no dispositivo.

Aviso

  • Todas as macros assinadas validamente com o mesmo certificado são reconhecidas como provenientes de um editor confiável e são executadas.
  • Adicionar um editor confiável pode afetar cenários além daqueles relacionados ao Office, porque um editor confiável é uma configuração para todo o Windows, e não apenas uma configuração específica do Office.

Utilizar a Política de Grupo para gerir fabricantes fidedignos

Pode utilizar a Política de Grupo para distribuir para dispositivos na sua organização o certificado de assinatura de código público utilizado para assinar a macro. Para distribuir o certificado, pode efetuar os seguintes passos na ferramenta Gestão de Políticas de Grupo:

  1. Aceda a Configuração do Computador\Políticas\Definições do Windows\Definições de Segurança\Políticas de Chave Pública, clique com o botão direito do rato em Fabricantes Fidedignos e, em seguida, selecione Importar.
  2. Execute o Assistente de Importação de Certificados e importe o ficheiro de certificado adequado para o arquivo de certificados fabricantes fidedignos.

Para os utilizadores que só devem executar macros VBA assinadas por um fabricante fidedigno, deve definir a política Definições de Notificação de Macro do VBA como Ativada e efetuar os seguintes passos em Opções:

  • Selecione Desativar tudo exceto macros assinadas digitalmente na lista pendente.
  • Selecione a caixa de verificação Exigir que as macros sejam assinadas por um fabricante fidedigno .

Observação

Se escolher estas definições para o Excel, as macros do Excel 4.0 serão bloqueadas.

Se quiser fornecer mais restrições, em Opções , pode selecionar a caixa de verificação Bloquear certificados de fabricantes fidedignos que só estão instalados no arquivo de certificados de utilizador atual . Esta definição impede que os utilizadores adicionem manualmente um fabricante fidedigno no respetivo dispositivo, a menos que tenham permissões de administrador no dispositivo.

Utilizar um programa de linha de comandos para distribuir um certificado para um fabricante fidedigno

Se não conseguir utilizar ou não utilizar a Política de Grupo na sua organização, também pode distribuir o certificado de assinatura de código público com o comando certutil num script ou manualmente num dispositivo. Pode utilizar o parâmetro -addstore para adicionar o certificado de assinatura de código ao arquivo TrustedPublisher no dispositivo.

Pedir a um utilizador para adicionar manualmente um fabricante fidedigno

Se tiver apenas alguns utilizadores que precisam de configurar um fabricante fidedigno, pode fazê-lo manualmente em cada dispositivo. Os utilizadores só precisam de o fazer uma vez para cada publicador.

Os utilizadores podem seguir estas instruções para adicionar à origem um fabricante fidedigno. Se o ficheiro tiver a Marca da Web, os utilizadores têm primeiro de remover a Marca da Web do ficheiro antes de poderem adicionar a origem como um fabricante fidedigno. Para obter mais informações, veja as informações neste artigo.